GDPR Case 024. The Norwegian Data Protection Authority imposes a fine on the Municipality of Oslo, the Education Agency
GDPR Case 024. The Norwegian Data Protection Authority imposes a fine on the Municipality of Oslo, the Education Agency
GDPR:§9(1) (processing of special categories of personal data, shall be prohibited)、§32 (security of processing)、§25 (data protection by design and by default)
日期:11 October 2019
國家:挪威
關鍵字:App;適當安全措施;兒童;特種資料(健康資料);資料保護設計與預設
GDPR:§9(1) (processing of special categories of personal data, shall be prohibited)、§32 (security of processing)、§25 (data protection by design and by default)
裁決:行政罰鍰(€ 120,000)
摘要:
(1) 挪威監管機關對奧斯陸市政府教育局課以行政罰鍰,因為該局使用的一款 App,適當安全措施不足;教育局使用 App,是作為學校教員與學童、父母之間溝通的工具。
(2) 由於當局沒有採取適當的技術和組織措施來確保與風險相適配的安全等級,以及下列原因,監管機關對奧斯陸市政府教育局課以 € 120,000 之行政罰鍰。
(3) 首先,這款 App 的使用目的之一,是讓父母和學校可以任意發送有關兒童和其出缺席的文字訊息,有時候,傳送的訊息會包括特定兒童的特種資料,例如健康資訊;不過,App 並沒有技術措施用來防止這種情況的發生,也沒有任何提醒使用者避免傳輸此類特種資料的功能。
(4) 監管機關認為,根據資料保護設計與預設原則,此時,使用下拉式選單(drop-down lists)和勾選框(tick boxes)等替代措施,應該更為合適。
(5) 其次,App 欠缺適當的登入安全措施,使得未經授權之人得以閱覽和更改超過 63,000 名一至十年及學生的個人資料。
(6) 再三,App 在啟用前,未經充分的安全測試,因為該款 App 包含眾所周知的安全漏洞。